29. Mai 2026 | Artikel drucken | |

Edge-Gerät als Ransomware-Tor: Warum MFA am VPN nicht reicht

7 Min. Lesezeit

Das Gerät, das ein Netz nach außen abschotten soll, ist zum häufigsten Einstiegspunkt für Ransomware geworden. Die Akira-Gruppe kompromittierte über ungepatchte SonicWall-VPNs reihenweise Unternehmensnetze, in vielen Fällen sogar dort, wo Multi-Faktor-Authentifizierung aktiv war. Die Lektion ist unbequem und für jedes DACH-SOC relevant: Eine Appliance am Netzrand ist kein Schutzwall, sondern ein hochwertiges Angriffsziel mit eigener Patch-Pflicht.

Das Wichtigste in Kürze

  • Edge-Geräte sind das Einfallstor. VPN- und Firewall-Appliances stehen am Anfang der meisten aktuellen Ransomware-Ketten.
  • MFA allein reicht nicht. Angreifer kamen auch bei aktiver Multi-Faktor-Authentifizierung durch, über übernommene Anmeldungen.
  • Patch-Lag ist die eigentliche Lücke. Ausgenutzt werden oft Schwachstellen, für die längst ein Update existiert.

Verwandt:Wenn das Schutzprodukt selbst die Lücke ist  /  Time-to-Exploit sinkt auf 24 bis 48 Stunden

Warum gerade das Edge-Gerät

Was ist ein Edge-Gerät? Ein Edge-Gerät sitzt an der Grenze zwischen internem Netz und Internet: VPN-Gateway, Firewall, SSL-VPN-Appliance. Es ist von außen erreichbar, läuft rund um die Uhr und hat tiefe Rechte im Netz. Genau diese Kombination macht es für Angreifer so wertvoll und für Verteidiger so heikel.

Die Logik aus Angreifersicht ist nüchtern. Ein Edge-Gerät ist per Definition exponiert, sonst könnte niemand von außen darauf zugreifen. Es hat eine privilegierte Position, weil es den Verkehr ins interne Netz steuert. Und es wird seltener gepatcht als ein Server, weil ein Update am Gateway oft eine kurze Downtime für alle Remote-Nutzer bedeutet. Wer einen Hebel sucht, findet hier den größten.

Genau das hat die Akira-Gruppe ausgenutzt. Über ungepatchte SonicWall-SSL-VPNs verschafften sich die Angreifer Zugang zu Unternehmensnetzen und brachten anschließend Ransomware aus. Im dritten Quartal 2025 stiegen die Akira-Vorfälle gegenüber dem Vorquartal um rund 300 Prozent, fast alle mit kompromittierten SonicWall-Geräten als Ausgangspunkt. Das ist kein Einzelfall, das ist ein Muster.

+300 %
Anstieg der Akira-Ransomware-Vorfälle im dritten Quartal 2025 gegenüber dem Vorquartal, fast alle mit kompromittierten Edge-VPN-Geräten als Einstieg.
Quelle: Branchen-Analysen zur Akira-Kampagne, 2025

Warum MFA nicht das Ziel war, sondern eine Station

Der unbequemste Teil der Berichte: Auch Konten mit aktiver Multi-Faktor-Authentifizierung wurden übernommen. Angreifer meldeten sich erfolgreich über das SSL-VPN an, inklusive bestandener Einmalpasswort-Abfrage. Die zweite Faktor-Stufe wurde nicht umgangen, sondern bedient. Das passiert, wenn Anmeldedaten und Sitzungstoken abgegriffen werden oder wenn bei einer Geräte-Migration alte Passwörter unverändert übernommen wurden.

Für Teams, die MFA als abgeschlossene Aufgabe betrachten, ist das ein wichtiger Realitätsabgleich. MFA erhöht die Hürde, es beseitigt sie nicht. Wer den Faktor über Phishing oder eine gekaperte Sitzung mitliefert, steht vor derselben offenen Tür wie zuvor. Die Antwort ist nicht, MFA abzuschaffen, sondern sie phishing-resistent zu machen und die Anmeldungen am Edge zu überwachen, statt sie als grünes Licht abzuhaken.

Trügerische Annahme

  • Die Firewall schützt, sie ist kein Ziel
  • MFA aktiv heißt Zugang sicher
  • Edge-Patches haben Zeit bis zum Wartungsfenster

Belastbares Vorgehen

  • Edge-Geräte mit eigener, schneller Patch-Kadenz
  • Phishing-resistente MFA statt Einmalpasswort
  • Anmeldungen am Gateway aktiv monitoren

Was ein SOC daraus konkret ableitet

Der erste Schritt ist eine ehrliche Inventur der eigenen Edge-Geräte. Welche VPN- und Firewall-Appliances sind von außen erreichbar, welche Firmware-Stände laufen, wann wurde zuletzt gepatcht. Überraschend oft fehlt genau dieser Überblick, weil das Gateway als gesetzt gilt und niemand es im regulären Schwachstellenmanagement führt. Was nicht inventarisiert ist, wird nicht gepatcht.

Der zweite Schritt ist die Patch-Kadenz selbst. Ein Edge-Gerät verträgt keine Wochen alte Lücke, weil die Time-to-Exploit bei solchen Appliances heute bei Stunden bis wenigen Tagen liegt. Das verlangt ein eigenes, schnelles Fenster für Edge-Updates, getrennt vom gemächlichen Server-Rhythmus. Wer hier wartet, verschenkt genau die Zeit, die der Angreifer braucht.

Der dritte Schritt betrifft die Annahmen nach einer Migration. Die ausgenutzte SonicWall-Lücke wirkte besonders dort, wo bei einem Generationswechsel lokale Passwörter unverändert übernommen wurden. Jede Migration ist deshalb ein Moment, an dem Anmeldedaten zurückgesetzt und Konfigurationen geprüft gehören. Ein übernommenes Passwort ist eine Hintertür, die niemand bewusst eingebaut hat und die trotzdem offensteht.

Die Firewall am Netzrand ist nicht der Wachposten, hinter dem man sich entspannt. Sie ist die exponierteste Maschine im Haus und verdient die strengste Patch-Disziplin.

Die Summe dieser drei Schritte ist unspektakulär. Inventur, schnelle Patches, saubere Anmeldedaten. Genau diese Unauffälligkeit ist der Punkt. Die Akira-Welle lebt nicht von genialen Zero-Days, sondern von bekannten Lücken auf Geräten, die zu selten aktualisiert werden. Wer das Edge-Gerät wie den kritischen Server behandelt, der es längst ist, nimmt der häufigsten Ransomware-Kette ihren Anfang.

Häufige Fragen

Warum sind VPN- und Firewall-Appliances so beliebte Ziele?

Sie sind von außen erreichbar, laufen permanent und haben privilegierten Zugriff aufs interne Netz. Gleichzeitig werden sie seltener gepatcht als Server, weil Updates eine Downtime für Remote-Nutzer bedeuten. Diese Kombination macht sie zum lohnendsten Einstiegspunkt.

Wie konnten Angreifer trotz aktiver MFA eindringen?

Die zweite Faktor-Stufe wurde nicht umgangen, sondern bedient. Über abgegriffene Anmeldedaten und Sitzungstoken oder über bei einer Migration unverändert übernommene Passwörter meldeten sich Angreifer regulär an, inklusive bestandener Einmalpasswort-Abfrage.

Was ist die wichtigste Sofortmaßnahme?

Eine Inventur aller von außen erreichbaren Edge-Geräte mit ihren Firmware-Ständen, gefolgt von einem schnellen Patch der bekannten Lücken. Die meisten ausgenutzten Schwachstellen haben längst ein verfügbares Update.

Reicht es, MFA einzuschalten?

Nein. MFA erhöht die Hürde, beseitigt sie aber nicht. Sinnvoll ist phishing-resistente MFA statt klassischer Einmalpasswörter, kombiniert mit einer Überwachung der Anmeldungen am Gateway.

Warum ist eine Migration ein kritischer Moment?

Beim Generationswechsel werden Konfigurationen und Konten übernommen. Bleiben dabei alte Passwörter unverändert, entsteht eine Hintertür. Jede Migration sollte deshalb ein Zurücksetzen der Anmeldedaten und eine Prüfung der Konfiguration einschließen.

Mehr aus dem MBF Media Netzwerk

cloudmagazin

VMware Cloud Foundation 9.1 und die Souveränitäts-Frage

mybusinessfuture

16 Entscheider, ein KI-Rechercheur: Der B2B-Vertrieb wird präziser

digital-chiefs

Agentic AI ohne Halter: Wer haftet, wenn der Agent danebenliegt

Bildquelle: KI-generiert (Juni 2026), C2PA-Zertifikat im Bild hinterlegt

Artikel drucken
Alec Chizhik

Hier schreibt Alec Chizhik für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH